IDS/IPS system

Hej Alle

Er der nogle der er her inde der er skarp omkring intrusion detection system (IDS) og Intrusion Prevention Systems (IPS) ?

Jeg er i gang med et projekt med at lave en NIDS enhed med snort. DeT skal være med til at mindske torrent trafik i på et netværk.

Jeg har lavet nogle drop regler men syntes ikke de har nogen effekt men her et eksampel på et af mine snort regler:

Regler:
droppe .torrent filen så den ikke når frem til brugeren. Der har jeg konstrueret denne regl:

drop tcp $HOME_NET any -> $EXTERNAL_NET any (msg: "P2P .torrent metafile request"; content:"HTTP/"; content:".torrent"; flow:established,to_server; classtype:policy-violation; sid:1100010; rev:1;)

Drop pakker ved handshake:

drop tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"P2P BitTorrent handshake"; Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 flow:to_server,established; content:"BitTorrent protocol|0000 0000|"; classtype:policy-violation; sid:1100012; rev:1;)

Jeg ville høre om der er nogle der kan hjælpe mig?